Обидевшись на страховую фирму и оператора кабельных сетей, некий эстонец прибег к помощи компьютерного вируса, который до сих пор атакует компьютерные сети этих фирм.Разоблачившие злоумышленника следователи полагают, что причины предпринятого им сугубо личные, однако сам он отказывается признать свою ответственность за организацию вирусной атаки против упомянутых фирм, сообщает таллинская газета Postimees.

Его неприязнь к страховой фирме основана на когда-то возникшем недоразумении, связанном с получением в компании If Eesti Kindlustus компенсации за пострадавший в аварии автомобиль. Недовольством подозреваемого как клиента тв-оператора Starman следователи объясняют предпринятую им атаку и против этой фирмы.

Он подозревается в совершении трех преступлений: компьютерные злоупотребления, нарушение компьютерной связи и распространение компьютерного вируса. За подобные преступления местный уголовный кодекс предусматривает наказание в виде лишения свободы на срок до трех лет.

Технические особенности вируса, который мститель запустил на серверы известных эстонских предприятий, по утверждениям специалистов-компьютерщиков, таковы, что он практически не уничтожается.

По данным газеты, подозреваемый в совершении преступления уже в 2004 году написал вирусную программу, однако распространить вирус у него не получалось. Запланированное преступление получило размах значительно позже, когда ему удалось внедрить созданный им вирус в несколько других компьютеров, откуда он и начал распространяться, "как огонь по сухой траве".

Тип компьютерного вируса, поразившего Starman и If Eesti Kindlustus, самый назойливый и противный из всех аналогичных вирусов, потому что его атаки не прекратятся никогда, рассказал журналистам специалист по инфобезопасности Государственного центра развития инфосистем Эстонии Хиллар Аарелайд.

"В компьютерном мире этот вирус известен под именем All Apple или "Убийца Старман", - сказал Аарелайд. - Это очень старое изобретение и очень жизнеспособное. Он живет своей жизнью и абсолютно не поддается контролю, поскольку места, откуда "подаются приказы", не существует физически".

Принцип действия вируса заключается в том, что он, внедряясь в компьютеры по всему миру, начинает посылать с них на запрограммированные электронные адреса запросы, чем загружает серверы атакуемых фирм. Из-за загруженности сервера его работа замедляется, а временами он становится вообще недоступным для клиентов пострадавшей фирмы.

По словам Аарелайда, единственный способ избавиться от атак этого вируса - изменить торговую марку. Тогда вирус не сможет найти свою жертву.

Летом 2006 года сервер If Eesti Kindlustus неожиданно был атакован вирусом, в результате чего доступ на сайт фирмы был затруднен, пока ИТ-специалисты расположенной в Финляндии головной фирмы не разрешили проблему. Теперь финская головная фирма требует возмещения нанесенного ущерба в размере пяти миллионов крон.

Starman борется с созданными вирусом проблемами до сих пор. По словам технического директора фирмы Ханно Лийва, основная лавина атак на сервер фирмы шла с компьютеров, расположенных в Азии.

Это даже послужило причиной того, что пару лет тому назад провайдер кабельного телевидения ограничил доступ на своей сайт из-за границы. Чтобы избежать ситуации, когда иностранные инвесторы не могут получить информации о котирующейся на бирже фирме, Starman был вынужден приобрести для их информирования отдельный домен starman.eu

О размахе распространения вируса говорит тот факт, что фирме пришлось вручную заблокировать доступ на свой сайт более чем 30 000 компьютеров. Когда несколько недель назад фирма попыталась открыть за рубежом доступ на свой сервер, то вирус тут же заявил о себе, и сайт опять пришлось закрыть для иностранных пользователей.

www.sat-expert.com

Особенности месяца

Доля спама в почтовом трафике по сравнению с январем увеличилась на 0,5% и составила в среднем 87,2%.
Доля спама с графическими вложениями снизилась на 4% и составила 13%.
Ссылки на фишинговые сайты находились в 0,84% всех электронных писем, что на 0,11% меньше, чем в январе.
Вредоносные файлы содержались в 0,20% электронных сообщений, что на 0,84% меньше, чем в прошлом месяце.
Под видом программы для чтения чужих SMS-сообщений распространялись вредоносные программы.
Было зафиксировано несколько рассылок поздравительных открыток со ссылками на файлы в формате exe.
Рубрика «Реклама спамерских услуг» вышла на первое место в списке лидирующих тематик.
В пятерку лидирующих тематик вошла рубрика «Недвижимость».

Доля спама в почтовом трафике в феврале 2009 года в среднем составила 87,2%. Самый низкий показатель отмечен 20 февраля – 81,4%, больше всего спама зафиксировано 22 числа – 93%

Доля графического спама несколько уменьшилась – и составила 13% (вместо январских 17%).

Распространение вредоносных программ

Доля писем, содержащих вредоносные вложения, в последний месяц зимы сократилась на 0,84% и составила 0,20%.

Злоумышленники по-прежнему под разными предлогами пытаются спровоцировать пользователей открыть вредоносное вложение. Так, в одном из разосланных спамовых писем, подделанном под дружеское послание, во вложении под именем installer.exe находился Trojan-Spy.Win32.Goldun.bw:

Наконец то всё работает!!!!!!!!!! Макс, почему в аське не появляешься. Помнишь о чём мы мечтали и много над этим работали) так вот, это рабочий вариант. настрой её под себя и проверь, всё ли я правильно сделал. никому эту прогу не давай, накрайняк продавай, но тока хорошим знакомым. жду твоих отзывов. скоро разбогатеем. у меня по 50вмз/день легко получается. п.с. заодно напиши у тебя АВ ругается или нет.или у меня глюк такой

На протяжении всего месяца рассылались спамовые письма, в которых пользователям предлагалась программа для чтения чужих SMS-сообщений. Подобные предложения встречались и в прошлом году www.kaspersky.ru/news. В феврале текущего года они приняли массовый характер. При попытке загрузить пробную версию «шпиона» на компьютер пользователя загружалась вредоносная программа, которую злоумышленники меняли каждый день на протяжении месяца. В конце февраля в письмах предлагалось оплатить программу, отправив SMS-сообщение на четырехзначный номер. То есть, один и тот же прием социальной инженерии использовался сначала для заражения компьютеров, а затем – для выманивания денег у пользователей.

Рассылки с предложением посмотреть поздравительную открытку в день святого Валентина традиционно используются злоумышленниками для распространения вредоносных ссылок. В приведенном ниже письме по ссылке находился Email-Worm.Win32.Iksmas.zl.

Trudy has created for you a custom online greeting and wrote this to you: "I'm burning for you"

Click on the link below to see your greeting card:
SITE
This eCard will remove after 12-03-2009 from our servers.

Фишинг

Доля писем с фишинговыми ссылками в феврале составила 0,84%, что на 0,11% меньше, чем в январе. Чаще всего атакам подвергались платежная система PayPal (39,64%) и интернет-аукцион eBay (20,58%).

Пятерка лидирующих спам-тематик февраля:

«Реклама спамерских услуг» - 15,8% (+3,6%)
«Медикаменты; товары и услуги для здоровья» - 14,9% (-10,4%)
Спам «для взрослых» - 14,1% (-5,6%)
«Образование» - 12,7% (+6,2%)
«Недвижимость» - 4,7% (+2,3%).

В период экономического кризиса прежние лидеры рейтинга спам-тематик теряют вес, при этом в лидирующей пятерке оказываются те тематики, которые никогда не занимали первых мест в рейтинге. Это свидетельствует о том, что спамеры теряют клиентов, которые в течение долгого времени обеспечивали их заказами, и вынуждены активно искать новых заказчиков рассылок. На этом фоне конкуренция между различными спамерскими компаниями обостряется. Симптоматично, что в феврале на первое место в рейтинге тематических рубрик спама вышла реклама спамерских услуг. Спамеры не только активно рассылают собственную рекламу, но и стараются, чтобы эта реклама была как можно более эффективной: в ход пошли наиболее удачные приемы и образцы рекламы прошлых лет.

Кроме многочисленных русскоязычных предложений, ориентированных на пользователей Рунета, в феврале была зафиксирована англоязычная рассылка, предлагавшая распространение незапрошенных писем по почтовым базам Великобритании:

Доля рубрики «Медикаменты: товары и услуги для здоровья», которая в течение долгого времени занимала первые места в рейтинге спам-тематик, продолжает уменьшаться. В феврале она сократилась почти вдвое – с 25,3% до 14,9%, а к концу месяца на долю таких рассылок приходилось чуть более 10% спама.

Как и прежде, эта рубрика представлена в основном письмами, рекламирующими виагру и ее аналоги. Самым необычным письмом этой серии оказалось послание, снабженное ссылками на якобы «шокирующую новость», касающуюся американского президента. По обеим ссылкам, содержащимся в письме, находился Trojan-Downloader.JS.Inor.a, который загружался на компьютер, а затем перенаправлял пользователя на сайты, рекламирующие медикаменты.

Окончание зимних праздников повлекло за собой рост числа предложений обучающих программ и семинаров, что позволило рубрике «Образование» увеличить свою долю в спаме на 6,2%.

Важно отметить существенный рост (почти в два раза по сравнению с январским показателем) процента писем рубрики «Недвижимость», где основными были предложения об аренде помещений. Эта рубрика впервые попала в пятерку лидеров. Такой всплеск можно объяснить кризисной ситуацией в экономике, которая влечет за собой отказ части арендаторов от съема офисных помещений и необходимость в дополнительной (и дешевой) рекламе сдаваемых площадей.

Спамерские методы и трюки

В феврале спамеры активно использовали уже опробованные и, с их точки зрения, эффективные методы. В ход вновь были пущены старые приемы, искажающие тексты рассылаемых писем, зашумление картинок, ссылки на домены третьего уровня и т.д. При всем разнообразии используемых методов, ничего принципиально нового спамеры придумать не смогли.

В разряд любопытных новинок февраля можно отнести рассылку, предлагавшую программу для совершенствования письменного английского языка. Эта рассылка была представлена письмами на разных языках, рекламировавшими один и тот же товар. Авторы этой рассылки подошли к делу основательно: при переходе по ссылке пользователь попадал на страницу, рекламирующую товар на языке той страны, в которой был зарегистрирован IP-адрес его компьютера. Сам сайт был размещен в доменной зоне .asia, предназначенной для стран азиатско-тихоокеанского региона и Австралии.

Заключение

Доля спама в Рунете остается на высоком уровне. Можно предположить, что эта тенденция будет сохраняться вплоть до периода летних отпусков. Впрочем, условия экономического кризиса могут внести свои – иногда труднопредсказуемые - коррективы и в развитие спам-бизнеса. Пока мы видим, как спамеры стремятся повысить эффективность своей деятельности, используя комбинации различных приемов, расширяя географию рассылок и усиливая собственную рекламу. В целом, текущий период можно охарактеризовать как период повышенной активности и изощренности спамеров. Пользователям нужно учесть, что спам становится все более агрессивным, и предпринимать необходимые меры предосторожности.

www.spamtest.ru

Антивирусная лаборатория PandaLabs обнаружила банковского трояна Banker.LSL, который использует видео с пасхальной тематикой для заражения пользователей с последующей кражей денег с их счетов в интернет-банках. Троян Banker.LSL специально разработан для кражи паролей доступа к банковским онлайн-сервисам.

Он перехватывает управление и считывает информацию с клавиатуры, отслеживает движения мышки и ее клики, перехватывает скриншоты открытых веб-страниц и считывает информацию, которую пользователь вводит при заполнении различных веб-форм (форма авторизации, анкеты и пр.).

Троян загружает на ПК пользователя набор текстовых файлов, в которых он сохраняет перехваченную информацию, а потом пытается их отправить на специальную веб-страницу.

Чтобы не вызвать подозрений у пользователей, им демонстрируется видео, и одновременно с этим устанавливается вредоносная программа. Луис Корронс, технический директор PandaLabs, призывает пользователей быть осторожными, так как этот тип трояна обычно распространяется с электронными сообщениями.

"Кроме того с ним можно столкнуться при попытке скачать в интернет-форумах какое-либо видео с YouTube. В результате этого на компьютер пользователя загружается троян", - пояснил Корронс.

http://www.novonews.lv/index.php?mode=news&id=72019

На прошлой неделе появилась новая версия червя Conficker, также известного как Downadup и Kido. Она, в частности, загружает на компьютер поддельный антивирус, который требует от пользователя 50 долларов за очистку компьютера от вредоносного ПО.

Поддельный антивирус, SpywareProtect2009, загружается с серверов, находящихся на Украине. Попав на компьютер, он периодически выводит на экран сообщение, например, об обнаруженных в системе вирусах. Кроме того, Conficker загружает на зараженные компьютеры червя Iksma, также известного как Waledac. Он появился в январе 2009 года. Предназначение Iksma - кража персональных данных и рассылка спама.

В среднем один компьютер, зараженный Iksmas, отправляет в сутки 80 тысяч спам-сообщений. Практически все домены, с которыми связываются Iksmas для получения инструкций, находятся в Китае.

Впервые атака червя Conficker была зафиксирована в начале 2009 года. В течение нескольких дней он заразил десять миллионов компьютеров. Ботнет, образованный этими компьютерам, является одним из крупнейших в мире. Корпорация Microsoft предложила вознаграждение в 250 тысяч долларов за информацию, которая поможет в поимке автора или авторов Conficker. Также Microsoft договорилась о партнерстве с несколькими организациями, целью которого стало уничтожение червя.

Ранее Conficker лишь заражал компьютеры и не позволял их владельцам заходить на некоторые сайты. В частности, ресурсы компаний, занимающихся компьютерной безопасностью. В конце марта эксперты вьетнамской компании BKIS, занимающейся компьютерной безопасностью, предположили, что червь Conficker был создан в Китае. Этот вывод был сделан после анализа кода червя, который оказался тесно связан с кодом вируса Nimda, эпидемия которого была зафиксирована в 2001 году. Предполагается, что Nimda был разработан в Китае, так как в его коде обнаружели указания на эту страну. Но официально эти данные не были подтверждены.

http://www.novonews.lv/index.php?mode=news&id=72073

Финская компания F-Secure в своем квартальном отчете о вопросах безопасности IT Security Threat Summary, рассказала об обнаружении первого смс-червя, заражающего сотовые телефоны.

Как сообщает Security Lab, Sexy View - "социальный червь", использующий для своего распространения контактные данные в смартфоне пользователя. Вирус рассылает пользователям из контактного списка SMS с предложением зайти и оценить интересные фотографии и ссылкой на веб-сайт. Ничего не подозревающий адресат (сообщение поступает от знакомого ему человека) проходит на предлагаемый сайт, где ему предлагается установить специфическое приложение для просмотра изображений.

Давая согласие на установку, пользователь пополняет собой список жертв вредоносной программы и предоставляет собственный список контактов в распоряжение опасного червя.

Sexy View также отправляет сведения обо всех зараженных сотовых телефонах своему владельцу, который может воспользоваться собранной информацией для рассылки смс-спама.

"Sexy View заслуживает пристального внимания по целому ряду причин, - считает Микко Хиппонен, глава исследовательского отдела F-Secure, – Во-первых, ранее мы не сталкивались с подобным способом распространения опасных программ. Во-вторых, это единственный на сегодняшний день мобильный червь, способный обойти механизмы проверки сигнатур, которыми комплектуются все новые модели смартфонов. Наконец, своевременная разработка эффективных защитных мер обеспечит производителям ПО преимущество в борьбе с мобильным спамом, который на данный момент представляет собой весьма серьезную проблему в некоторых странах мира".

http://www.novonews.lv/index.php?mode=news&id=72258

"Лаборатория Касперского"сообщила о детектировании и лечении нового варианта уникального MBR-руткита.

Новый вариант вредоносной программы Sinowal, обладающей функционалом скрытия своего присутствия в системе при помощи заражения главной загрузочной записи (MBR, Master Boot Record) жесткого диска, был обнаружен экспертами компании в конце марта 2009 года.

Однако новый вариант стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств - самом "глубоком" уровне работы операционной системы. Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.

По данным экспертов "Лаборатории Касперского", буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.

Обнаружение и лечение данного буткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. "Лаборатория Касперского" одной из первых среди ведущих антивирусных компаний реализовала в своих существующих персональных антивирусных решениях не только детектирование, но и успешное лечение данного варианта Sinowal.

Для того чтобы проверить компьютер на наличие заражения, пользователям персональных продуктов необходимо обновить антивирусные базы и провести полную проверку системы. В случае обнаружения буткита в ходе лечения потребуется перезагрузка компьютера. Кроме этого, эксперты "Лаборатории Касперского" рекомендуют всем пользователям установить необходимые патчи, закрывающие уязвимости в Acrobat Reader и используемых браузерах.

www.kaspersky.com
http://www.3dnews.ru/softwar....rutkite

Компания «Доктор Веб» сообщила о крупномасштабных рассылках спам-сообщений, в составе которых содержатся архивы с вредоносными программами. Так, в ночь с 31 мая на 1 июня специалистами «Доктор Веб» была зафиксирована рассылка писем, в которой говорилось о том, что к письму приложена электронная открытка от одного из членов семьи пользователя. На деле приложенный файл ecard.exe оказался трояном, который определяется антивирусом Dr.Web как Trojan.DownLoad.37569.

В ночь с 1 на 2 июня под видом электронных открыток рассылалась уже другая программа - Trojan.PWS.Panda.122. Данная вредоносная программа сканирует интернет-трафик, проходящий через компьютер пользователя и ворует из него пароли к банковским интернет-сервисам и электронным платёжным системам.

Начиная с вечера 2 июня, по данным «Доктор Веб», началась рассылка Trojan.DownLoad.36339. На этот раз троян распространялся не только под видом электронных открыток, но также в виде критических обновлений для почтовых клиентов The Bat! и Outlook.

Также в виде подобных писем и, предположительно, той же группой людей, рассылаются идентичные фишинговые письма с предложением скачать обновление для почтовых клиентов со специального сайта. При переходе на специально подготовленный сайт пользователю предлагается ввести параметры своего почтового аккаунта якобы для переконфигурации почтовой программы.

«Доктор Веб» в связи с учащением подобных случаев не рекомендует открывать подозрительные файлы из почтовых сообщений, либо перед этим удостовериться в подлинности присланной информации по контактным данным компании, которая упоминается в письме. Также не рекомендуется вводить какие-либо приватные данные в веб-формах, которые для этого не предусмотрены.

Источник: cnews.ru
www.tele-satinfo.ru

Компания «Доктор Веб» - российский разработчик средств информационной безопасности – сообщает о появлении в Интернете опасного троянца, уничтожающего все файлы и папки на зараженном компьютере. Первые случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня 2009 года.

Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троянец начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троянец делает его скрытым. Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу.

Уникальным для современных вредоносных программ свойством данного троянца является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть – он просто уничтожает всю информацию, хранящуюся в зараженной системе.

Можно предположить, что данный троянец, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator, который повреждает файлы форматов Microsoft Word и Excel, а также фотографии и мультимедийные файлы. За тем исключением, что Trojan.KillFiles.904 представляет еще большую угрозу.

В связи с опасностью инфицирования Trojan.KillFiles.904, компания «Доктор Веб» рекомендует использовать исключительно лицензионное антивирусное ПО с последними обновлениями.

www.tele-satinfo.ru

«Лаборатория Касперского» опубликовала новую версию рейтинга вредоносных программ. Две вирусные двадцатки сформированы на основе данных, полученных системой Kaspersky Security Network (KSN) в июне 2009 г.

В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер. Использование статистики on-access позволяет проанализировать самые свежие, опасные и распространенные вредоносные программы, которые были заблокированы при запуске, либо при их загрузке из Сети на компьютер пользователя, пояснили в «Лаборатории Касперского».

В целом, июньская вирусная двадцатка выглядит следующим образом:

Net-Worm.Win32.Kido.ih 58200
Virus.Win32.Sality.aa 28758
Trojan-Dropper.Win32.Flystud.ko 13064
Trojan-Downloader.Win32.VB.eql 12395
Worm.Win32.AutoRun.dui 8934
Trojan.Win32.Autoit.ci 8662
Virus.Win32.Virut.ce 6197
Worm.Win32.Mabezat.b 5967
Net-Worm.Win32.Kido.jq 5934
Virus.Win32.Sality.z 5750
Trojan-Downloader.JS.LuckySploit.q 4624
Virus.Win32.Alman.b 4394
Packed.Win32.Black.a 4317
Net-Worm.Win32.Kido.ix 4284
Worm.Win32.AutoIt.i 4189
Trojan-Downloader.WMA.GetCodec.u 4064
Packed.Win32.Klone.bj 3882
Email-Worm.Win32.Brontok.q 3794
Worm.Win32.AutoRun.rxx 3677
not-a-virus:AdWare.Win32.Shopper.v 3430

Net-Worm.Win32.Kido.ih продолжает удерживать пальму первенства. Более того, в таблице присутствуют еще две модификации этого червя — Kido.jq и Kido.ix. По всей видимости, такое обилие Kido в рейтинге связано с тем, что представители этого семейства распространяются в том числе и через съемные носители, на которые попадают с незащищенных компьютеров, отмечается в отчете «Лаборатории Касперского». По тем же причинам в рейтинге оказались представители семейства Autorun-червей — AutoRun.dui и AutoRun.rxx.

Кроме того, в рейтинг попал активно используемый злоумышленниками скриптовый троян — Trojan-Downloader.JS.LuckySploit.q.

На двадцатом месте расположился представитель рекламных программ — Shopper.v. По информации «Лаборатории Касперского», это одна из наиболее популярных программ такого типа (компания разработчик — Zango, ранее Hotbar — закрылась несколько месяцев назад). Приложение устанавливает различные панели в браузеры и почтовые клиенты и с их помощью показывает пользователю рекламные баннеры. При этом удалить эти панели из системы не так уж просто.

Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и освещает обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц:

Trojan-Downloader.JS.Gumblar.a 27103
Trojan-Downloader.JS.Iframe.ayt 14563
Trojan-Downloader.JS.LuckySploit.q 6975
Trojan-Clicker.HTML.IFrame.kr 5535
Trojan-Downloader.HTML.IFrame.sz 4521
Trojan-Downloader.JS.Major.c 4326
Trojan-Downloader.Win32.Agent.cdam 3939
Trojan-Clicker.HTML.IFrame.mq 3922
Trojan.JS.Agent.aat 3318
Trojan.Win32.RaMag.a 3302
Trojan-Clicker.SWF.Small.b 2894
Packed.JS.Agent.ab 2648
Trojan-Downloader.JS.Agent.czm 2501
Exploit.JS.Pdfka.gu 2441
Trojan-Clicker.JS.Agent.fp 2332
Trojan-Dropper.Win32.Agent.aiuf 2002
Exploit.JS.Pdfka.lr 1995
not-a-virus:AdWare.Win32.Shopper.l 1945
not-a-virus:AdWare.Win32.Shopper.v 1870
Exploit.SWF.Agent.az 1747

Первое место во второй двадцатке занимает троянский загрузчик Gumblar.a, механизм действия которого является примером drive-by-загрузки. Он представляет собой зашифрованный скрипт небольшого размера, при исполнении перенаправлющий пользователя на зловредный сайт, с которого, в свою очередь, с помощью эксплуатации набора уязвимостей скачивается и устанавливается вредоносный исполняемый файл. Последний после установки в систему влияет на веб-трафик пользователя, изменяя результаты поиска в поисковой системе Google, а также ищет на компьютере пользователя пароли от FTP-серверов для последующего их заражения.

Таким образом, в распоряжении злоумышленников появляется ботнет из зараженных серверов, с помощью которых они могут загружать на компьютеры пользователей любые типы вредоносных программ. По данным «Лаборатории Касперского», количество зараженных серверов огромно, и, более того, распространение происходит по незащищенным компьютерам до сих пор.

Еще один примечательный образец drive-by-загрузок — троянский загрузчик LuckySploit.q, занявший третье место, а также отметившийся в первой двадцатке. LuckySploit.q вначале собирает информацию о конфигурации браузера пользователя, а затем отсылает эти сведения на зловредный сайт, зашифровывая их с помощью открытого RSA-ключа. На сервере эта информация расшифровывается с помощью закрытого RSA-ключа и, в соответствии с обнаруженной конфигурацией браузера, пользователю возвращается целый букет скриптов, которые эксплуатируют уязвимости, найденные на данном компьютере, и загружают зловредные программы.

Ряд вредоносных программ используют уязвимости программных продуктов крупных разработчиков. Так, присутствие в рейтинге эксплойтов Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr и Exploit.SWF.Agent.az говорит о популярности и уязвимости продуктов Adobe Flash Player и Adobe Reader, отмечают специалисты «Лаборатории Касперского». Кроме того, активно используются разнообразные уязвимости в решениях Microsoft: например, Trojan-Downloader.JS.Major.c пытается использовать сразу несколько уязвимостей в различных компонентах ОС, а также в компонентах Microsoft Office.

«Лаборатория Касперского» также представила рейтинг стран, в которых отмечено наибольшее количество попыток заражения через веб: так, на Китай приходится 56,41% всех попыток заражения, на Россию – 5,92%, на США – 4,86%, на Индию – 3,34%, на Бразилию – 2,03% и 27,45% на другие страны.

http://www.cnews.ru

Лаборатория Касперского сообщила о новом вирусе, который выдает себя за продукт компании и вымогает у пользователей деньги за свою дезактивацию.

Троянская программа, требующая отправки платного SMS-сообщения для излечения от некого не существующего в реальности вируса, попадает на компьютер пользователя посредством спам-рассылки или при помощи зараженного сменного носителя - флешки или диска. Данная вредоносная программа, получившая название Trojan-Ransom.Win32.SMSer, устанавливается в системную директорию ОС Windows и никак не проявляет себя до перезагрузки зараженного компьютера.

После перезагрузки, стартовав вместо explorer.exe, троянская программа блокирует работу ПК, и выводит на экран сообщение от имени Kaspersky Lab Antivirus Online с требованием отправить платное SMS-сообщение для излечения системы.

Для большего эффекта пользователю показывается таймер обратного отсчета времени в секундах, которое якобы осталось до "смены алгоритма шифрования обнаруженного вируса". При этом сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой, в том числе и до менеджера задач.

Лаборатория Касперского предостерегает пользователей от перечисления денег вымогателям - вредоносное ПО все равно остается в системе, деньги будут потеряны, а полученные незаконным путем доходы мотивируют злоумышленников на дальнейшие преступления.

В компании не удивляются тому, что мошенники прикрываются именем Касперского, однако осуждают такую практику. "Подобный способ оповещения о вирусах совершенно неприемлем для любой серьезной антивирусной компании и является откровенным вымогательством", - сообщил Корреспондент.net сотрудник Лаборатории Касперского.

Специалисты детектируют все известные версии данной вредоносной программы и выпускают необходимые обновления.

Напомним, в июне производители антивирусного ПО сообщили о детектировании 25-миллионной вредоносной компьютерной программы.

http://www.novonews.lv/index.php?mode=news&id=77522

Каждый день антивирусная лаборатория PandaLabs получает около 37 000 экземпляров новых вирусов, червей, троянов и других видов интернет-угроз, 52% из которых (это в среднем 19 240 единиц) распространяются и пытаются инфицировать пользователей в течение всего лишь 24 часов. Затем они становятся неактивными и безвредными, поскольку на их место приходят новые варианты, пополняющие собой список новых образцов вредоносного ПО, находящегося в обращении.

Причина в том, что хакеры стремятся получить от вредоносных кодов финансовую прибыль. Именно с этой целью они изо всех сил стараются, чтобы такие коды оставались незамеченными пользователями и решениями безопасности.

Спустя всего 24 часа с момента вывода вредоносного образца в обращение хакеры модифицируют его код, чтобы продолжать распространение и оставаться незамеченными компаниями безопасности. Это объясняет значительный рост количества обнаруженных PandaLabs новых угроз, с 18 млн. за 20 лет, прошедших с момента основания компании до 2008 года, до 30 миллионов к 31 июля 2009г.

Луис Корронс, технический директор PandaLabs, говорит: “Это – гонка без конца, в которой, к сожалению, хакеры все еще ведут. Нам необходимо сначала завладеть созданным ими кодом, чтобы его проанализировать, классифицировать и найти способ борьбы с ним. В этой гонке производители, которые работают с традиционными методами ручного анализа, действуют слишком медленно, не успевая создавать вакцину, поскольку распространение и заражение происходят очень быстро”.

http://www.cybersecurity.ru/crypto/76218.html

В компании Агава, предоставляющей услуги интернет-хостинга, сообщили о проведении работ по проверке аккаунтов клиентов виртуального хостинга на наличие вредоносных программ. В результате проверки специалисты хостера обнаружили почти 1000 аккаунтов пользователей с зараженными сайтами.

Илья Шляпников, представитель компании, сообщил о наличии 967 сайтов с тем или иным видом вредоносного программного обеспечения. "Почти тысяча сайтов, сотни ежедневных посетителей на каждом – в течение одного месяца такая армада вирусоносителей заражала миллионы компьютеров", - говорят в компании.

Как правило, вирусы подгружаются людям при открытии страницы со стороннего сервера. Посетители зараженных сайтов, ничего не подозревая, скачивают вирус, а их компьютеры подключаются к различным ботнет системам. Такие компьютеры используются для DDoS атак или накликивания рекламы, а конфиденциальная информация пользователя зачастую попадает в руки преступников.

История заражения интернет проекта может начинаться с трояна на компьютере вебмастера - сохранённые в FTP-менеджерах пароли пересылаются мошенникам, которые в дальнейшем используют их для модификации исходного кода страниц сайтов. Браузеры и поисковики при обнаружении инфицированного сайта блокируют его, в некоторой степени это спасает пользователей, но функционирование сайта прекращается.

В Агаве сообщают, что клиенты виртуального хостинга были предупреждены о существующей опасности, несмотря на это о блокировке вирусных сайтов компания не сообщает.

Проблема заражения сайтов вредоносными скриптами существует во всём мире не первый год. Несмотря на это, большинство российских хостинг-компаний перекладывает её решение исключительно на плечи клиентов, лишь изредка предлагая платные услуги по излечению сайтов.

"Агава стала первым хостинг-провайдером, который провел подобную акцию на бесплатной основе. Не исключено, что подобные операции будут повторяться в будущем", - сообщили в компании.

http://www.cybersecurity.ru/net/76445.html

Антивирусная компания Trend Micro предупреждает пользователей, желающих как можно скорее получить в распоряжение новую операционную систему Mac OS X Snow Leopard, об опасности заражения компьютеров вредоносными кодами. Напомним, что начало продаж новой Mac OS X намечено на сегодня.

На протяжении последних нескольких дней вирусные аналитики Trend Micro обнаружили несколько разных сайтов, где предлагались поддельные сборки новой ОС. По словам экспертов, мало того, что предлагаемые варианты не имели ничего общего с настоящей Mac OS X 10.6, все они содержали в себе троян OSX_JAHLAV.K, отравляющий DNS-систему ОС. В операционной системе DNS отвечает за разрешение имен в сети интернет.

После установки поддельной Mac OS X троян подменяет адреса провайдерских DNS-серверов и пускает пользовательский трафик через компьютеры, которыми управляют мошенники. Кроме того, данный метод позволяет перенаправлять пользователей на фишинговые сайты. В Trend Micro рассказывают, что им удалось обнаружить несколько таких поддельных сайтов. Почти на всех из них распространялся бесплатный антивирус FAKEAV, созданный злоумышленниками.

Антивирусные эксперты призвали получать новую версию ОС либо напрямую через Apple, либо через ее проверенных партнеров.

http://www.cybersecurity.ru/os/77113.html

Очередные плохие новости для VOIP-телефонии: в интернете опубликованы исходные коды троянца, способного перехватывать и записывать в качестве mp3-файлов данные переговоров Skype. Эксперты говорят, что сейчас в частном и деловом секторах люди все активнее пользуются средствами голосовой телефонии, в том числе и передачи данных не предназначенных для публичной огласки.

Коды были опубликованы швейцарским разработчиком программного обеспечения Рубеном Уттереггером на его собственном сайте Megapanzer.com. Сам разработчик говорит, что создал программу для перехвата шифрованных skype-данных, когда работал на компанию ERA IT Solutions. В сообщении на сайте он отмечает, что цель написания кода заключается не в желании слушать чужие переговоры, в желании показать "темные стороны" популярных программ IP-телефонии.

"Полностью коды разработки я опубликую через день-два, их можно свободно использовать, проблем с копирайтом не будет, так как компания предоставила мне на разработку все права", - говорит он. По словам программиста дополнительные "день-два" необходимы для того, чтобы ведущие антивирусные компании провели сигнатурный анализ кодов и включили их в свои антивирусные базы.

"Написанный код прост и элегантен. Нужно понять, что создание злонамеренных программ - это не космические исследования, если вы здесь ждете чего-то удивительного, то вы ошибаетесь. Бекдор получает инструкции из дропзоны и транслирует их в аудио-файлы. Система перехвата срабатывает на заголовки Skype, выделяет их и делает базовые дампы памяти и аудиопотоки, кодируемые в MP3", - рассказывает Уттереггер.

На данный момент код трояна пока не полностью закончен. "Я удалил системный плагин из бекдора, нет здесь и системы обхода файерволла. Оба эти компонента будут опубликованы позже", - говорит он.

В компании Symantec подтвердили факт получения трояна Peskyspy. В финской F-Secure идентифицировали новинку, как бекдор.

Стоит отметить, что подобные skype-трояны уже не новость. Ранее ряд источников в немецкой полиции сообщали о появлении в отделе по борьбе с компьютерными преступлениями Баварии кода под неофициальным названием DigiTask. Тогда сообщалось, что разработка предназначена для поиска преступников, использующих Skype. Исходников этой разработки или ее бинарной версии в интернете нет.

http://www.cybersecurity.ru/crypto/77183.html

Десятки тысяч адресов электронной почты Hotmail, Yahoo и Gmail, пароли от которых «утекли» на прошлой неделе, теперь используются для рассылки спама и скама.
Эксперты по безопасности предупреждают, что в последние дни в Сети появилось большое количество спамерских сообщений и попыток фишинговых атак, производящихся с адресов электронной почты Hotmail, Yahoo и Gmail. Предполагается, что рассылки идут с тех адресов, пароли от которых «утекли» на прошлой неделе.

Злоумышленники не только отсылают с них большое количество спама, но и осуществляют попытку фишинг-атаки — по всем адресам, найденным в адресной книге, рассылаются сообщения со ссылками на якобы интернет-магазины. А на самом деле — на специальные сайты, которые требуют от посетителей логины и пароли.
Эксперты до сих пор спорят о том, как именно злоумышленники получили информацию об учётных записях и паролях от них. Первоначально была выдвинута версия об использовании SQl Injection и получении данных из баз данных разных форумов и плохо защищённых сервисов. Потом победила точка зрения о том, что пароли от веб-мейлов были получены в результате массированной фишинг-атаки и люди сами «сдали» конфиденциальную информацию.
Однако теперь многие эксперты по безопасности говорят о существовании в «диком» виде особого кейлогера, который охотится именно за почтовыми данными. Именно с его помощью якобы и были получены все данные.

http://www.times.lv